[发明专利]基于属性和规则的访问控制方法

说明书

技术领域

本发明涉及一种信息资源的访问控制方法，具体涉及一种基于属性和规则的访问控制方法。

背景技术

随着计算机网络技术的迅速发展和广泛应用，网络信息安全显得尤其重要，其根本目标是保障计算机中信息的保密性、完整性和可用性，其中，访问控制是保障管理信息安全的一种重要技术。访问控制技术有多种，如自主访问控制(Discretionary Access Control，简称DAC)，强制访问控制(Mandatory AccessControl，简称MAC)，基于角色的访问控制(Role Based Access Control，简称RBAC)。其中，RBAC模型以高效的授权管理，被公认为当前最有发展潜力的新一代访问控制模型，并得到广泛的深入研究和应用。

在大型企业中，用户和权限管理是一个复杂、具有挑战性的工作。RBAC模型通过引入角色(Role)这一中介，人工分配用户合适的角色，从而授权用户角色的权限，实现了用户与权限的逻辑分离，大大地方便了权限的管理。但RBAC模型的角色往往是静态的，当大型企业发生组织和功能变化时，需要将很大数量的角色进行重新分配，同时，当用户数目很庞大时，RBAC模型的人工角色分配和管理方式，使得角色权限管理工作变得非常庞大、笨重。

基于规则的RBAC(Rule based RBAC，简称RB-RBAC)为庞大用户数目带来的笨重管理任务提供了一种解决方法。RB-RBAC模型综合考虑了用户属性，制定规则，为用户自动分配角色，实现自动化管理用户和权限，满足管理庞大用户数目的安全需求，在一定程度上降低了管理工作的复杂度。当系统考虑的用户属性数目逐渐增长，分析用户角色分配越来越复杂，规则制定变得越来越复杂，规则数目随用户属性数目增长而呈指数增长，这些局限性使得模型不能很好地满足服务应用增长的安全需求。而且，RB-RBAC没有提出多种访问策略的解决方法。基于属性的访问控制(Attribute based Access Control，简称ABAC)模型没有引用“角色”这一中介，使得模型的管理工作变得较为复杂，存在大量的重复工作，不能满足用户数目庞大的需求。

在很多提供服务的企业中，随着企业的发展壮大，用户数目在成百上万的不断增长，同时，对资源的访问制定了更为细化多元化的策略需求。这些使得人工管理分配用户角色，变成一个可怕庞大的管理任务，已经不能满足系统的需要。这就需要一个有效的访问控制方法来实现日益复杂的数据资源的安全管理。

随着资源信息细粒度化，企业往往根据多种不同资源属性和多种不同用户属性，制定相应访问策略，保护更为安全细化的资源信息。针对不同类型的用户属性和多种不同类型的资源属性制定的多元化访问策略已经成为一种需要。

发明内容

本发明所要解决的技术问题是提供一种基于属性和规则的访问控制方法，能够将用户属性和规则结合，实现自动分配用户角色的高效访问控制机制。

为了解决以上技术问题，本发明提供了一种基于属性和规则的访问控制方法，包括如下步骤：

(1)根据访问策略制定基于属性分配角色的规则；

(2)对于提出访问资源请求的用户，系统根据数据库中的用户信息，获得用户属性及其对应值；

(3)根据步骤(2)获得的所述用户属性及其对应值，建立用户的属性表达式，根据步骤(1)制定的规则，分配用户角色；

(4)查询分配用户角色的对应权限，建立组合权限，用户实现对资源的综合信息的访问获取。

其中，根据访问策略制定基于属性分配角色的规则包括：

分析访问策略和访问策略中用户属性和资源属性间的对应关系；

制定分配角色的规则，建立角色及其对应的权限信息库。

所述用户属性和资源属性间的对应关系包括：一对一的对应关系和一对多的对应关系。

在上述的访问控制方法中，所述建立角色及其对应的权限信息库包括：

建立一对一的角色及其对应的权限信息库；

建立一对多的角色及其对应的权限信息库。

所述用户的属性表达式包括：单一属性表达式和组合属性表达式。